Cloud-Lösungen DSGVO-konform umsetzen

Digitale Services, Datenanalyse und mehr Kundenorientierung sind einige der Eckpfeiler, auf denen sich Unternehmen bei der Digitalisierung neu aufstellen. Infolgedessen bleibt es nicht aus, dass auch sensible Daten digital verarbeitet und gespeichert werden. Gleichzeitig wandern mehr und mehr Rechen- und Speicherkapazitäten in die Cloud. Unternehmen stehen hier vor der Herausforderung, die notwendige Modernisierung ihrer IT mit dem geforderten Schutz sensibler Daten zu vereinbaren. Sie benötigen klare Prozesse und rechtssichere Lösungen für alle Systeme, die mit personenbezogenen Daten in Kontakt kommen.


Inhalt

Die Datenschutz-Grundverordnung der EU (DSGVO) enthält verschiedene Anforderungen an den Datenschutz in der Cloud, die beim Abschluss eines Vertrags mit dem Cloud Service Provider umzusetzen sind. Hierzu zählen im Regelfall eine Auftragsverarbeitungsvereinbarung (sog. AV-Vertrag) als Rechtsgrundlage für die Weitergabe personenbezogener Daten.

Darüber hinaus finden sich in der DSGVO datenschutzrechtliche Grundprinzipien (wie Datenminimierung) und Betroffenenrechte (wie v. a. das Auskunftsrecht). Wenn Unternehmen mit externen Dienstleistern, Hostern und unterschiedlichen Plattformen arbeiten, ist der Datenschutz auch in komplexen Verarbeitungsszenarien sicherzustellen. Denn die Rechtsfolgen einer Datenschutzverletzung sind hohe Geldbußen von bis zu 20 Millionen Euro bzw. vier Prozent des Umsatzes oder Schadensersatz.

Cloud und DSGVO: Standorte der Datenverarbeitung beachten

Aufgrund der verschiedenen Anforderungen der DSGVO kommt den Standorten von Servern sowie den Orten, wo Unternehmen niedergelassen sind, eine große Bedeutung zu. Denn nur in Drittländer, die ein „angemessenes Schutzniveau“ bieten, dürfen Daten nach der DSGVO unter bestimmten Voraussetzungen exportiert werden.

Vor dem Hintergrund der hohen Marktdominanz US-amerikanischer Anbieter gilt den Datenübermittlungen an Empfänger in den USA ein besonderes Augenmerk. Mit dem sogenannten Schrems-II-Urteil hat der EuGH das „Privacy Shield“-Abkommen zwischen der EU und den USA für ungültig erklärt. Zugleich wurden in dem Urteil zusätzliche Anforderungen an den Einsatz von Standardvertragsklauseln formuliert. Diese finden sich gegenwärtig in einem Transfer Impact Assessment wieder, das zusätzlich zum Abschluss von Standardvertragsklauseln durchzuführen ist. Damit unterliegen Datenübermittlungen an US-Standorte zusätzlichen Anforderungen.

Datenschutzfreundliche Clouds in der EU

Mit einer datenschutzfreundlichen Cloud in der EU, die von einem europäischen Cloud-Anbieter bereitgestellt wird und hiesigen datenschutzrechtlichen Regelungsansprüchen gerecht wird, profitieren Unternehmen gleich doppelt: Sie erhalten eine skalierbare Infrastruktur mit flexibler Abrechnung, ohne dabei Verstöße gegen die DSGVO oder einen Zugriff ausländischer Behörden befürchten zu müssen. Unternehmen, für die Datenschutz von hoher Bedeutung ist, sollten daher auf Standorte und Anbieter in der EU setzen.

Schutz vor behördlichen Befugnissen

Datenschutzfreundliche Lösungen in der EU können auch vor behördlichen Datenzugriffsmöglichkeiten schützen (FISA 702, CLOUD Act u.a.). Der CLOUD Act (Clarifying Lawful Overseas Use of Data Act) ermöglicht es beispielsweise US-amerikanischen Ermittlungsbehörden, auf bestimmte Kundendaten von US-Anbietern zuzugreifen. Auch bei Standorten außerhalb der USA, wenn der Anbieter dem CLOUD Act unterliegt und die dortigen Voraussetzungen erfüllt sind. Vor diesem Hintergrund ist mit Blick auf das Argument „Rechenzentren in der EU“ immer auch zu fragen, ob potentielle Zugriffsbefugnisse bestehen und diese ein Risiko darstellen.

DSGVO und Multi-Cloud

Eine Multi-Cloud-Strategie ermöglicht die parallele Nutzung von Cloud-Ressourcen bei unterschiedlichen Anbietern. Dies wiederum erlaubt es, zwischen einzelnen Workloads und betroffenen Daten zu differenzieren. Je nach deren Schutzbedarf können diese dann auf den Plattformen von Hyperscalern oder bei einem EU-Anbieter gespeichert und verarbeitet werden.

So erhalten Unternehmen zum einen den Zugriff auf die vielseitigen Entwicklungstools und Schnittstellen der jeweiligen Anbieter. Zugleich können kritische Daten gemäß den jeweiligen Compliance-Anforderungen verarbeitet werden. Sofern keine Datenübermittlungen aus der EU in Drittländer stattfinden, wird hierdurch die datenschutzrechtliche Komplexität des Datenexports, insbesondere in Fragen eines angemessenen Schutzniveaus, vermieden.

plusserver bietet ein breites Portfolio an Lösungen mit DSGVO-konformen Cloud-Nutzungsszenarien und Multi-Cloud-Lösungen. Sprechen Sie uns einfach an, wir unterstützen Sie gern bei Ihrer datenschutzgerechten Cloud-Strategie.

Jetzt von plusserver beraten lassen

Hallo, wie kann ich Ihnen helfen?